Az utóbbi hetekben a partnerekkel, ügyfelekkel történt beszélgetések során tucatnyiszor hangzottak el a hírlevél küldés, és a direkt marketing kapcsán alábbi kérdések:

Mi lesz az e-mail listákkal a GDPR hatálybalépését követően?

Hogyan lehet hírlevelet, direkt marketing üzeneteket küldeni?

Minden e-mail cím esetében új hozzájárulást kell szereznünk, hogy reklám üzenetet küldhessünk?

Tilos lesz a direkt marketing a Rendelet alkalmazását követően?

Törölnünk kell az e-mail listáinkat?

Magam is tapasztalom az interneten, hogy sok téves információ és a rémhír kering, ezért úgy gondoltam megérne egy blogposztot, hogy tisztábban lássák az érintett piaci szereplők a jogi helyzetet.

1. Direkt marketing (hírlevél) és a hozzájárulás

A direkt marketing (közvetlen üzletszerzés) célú üzenetek kapcsán mindenki először a hozzájárulásra gondol jogalapként, ezért nézzük meg mik a GDPR elvárásai a hozzájárulással szemben.

NAIH több határozatában, állásfoglalásában is megállapította, hogy a hozzájárulásnak az alábbi feltételeknek meg kell felelnie:

  • önkéntes,
  • határozott
  • megfelelő tájékoztatáson alapul,
  • félreérthetetlen.

A GDPR ezen felül egyértelműen elvárja, hogy az adatkezelő utólag képes legyen igazolni a hozzájárulás fentiek szerinti megszerzését.  Aki tehát eddig is a fentiek szerint gyűjtötte a direkt marketing, illetve hírlevél célú tevékenységéhez az e-mail címeket, annak az Adatvédelmi Rendelet hatályba lépése semmiben nem fogja érinteni a tevékenységét.

Akik nem tudják az általuk használt e-mail címek kapcsán igazolni a hozzájárulás fentiek szerinti megszerzését, azoknak 2018. május 25. napjáig valamilyen módon legitimálniuk kell a direkt marketing célból használt e-mail címek kezelését. Ennek az egyetlen módja, ha megpróbálják újra beszerezni a hozzájárulást, ami valószínűleg „fájni” fog.

Mindenkinek azt tanácsolom, mielőtt elkezdi a hozzájárulások GDPR kompatibilis (újbóli) beszerzését, végezzen hatásvizsgálatot, és dolgozzon ki egy olyan módszert, amivel az érintettek azt a lehető legkönnyebben megadhatják. Minél többet kell tennie az érintettnek, hogy újra megadja a hozzájárulását, annál nagyobb a valószínűsége, hogy nem fogja megtenni.

A fenti folyamat azonban nem mehet át az érintett „zaklatásába”, ezért azt szoktam tanácsolni, hogy lehetőleg 2 darab ilyen témájú e-mailnél ne küldjenek többet egyetlen érintettnek sem. Aki meg akarja adni a hozzájárulást, az ennyiből is meg fogja. A folyamat során reálisan úgy gondolom akár 30-50%-os lemorzsolódással is számolni kell.

2. Jogos érdek, mint a GDPR szerinti új jogalap

Kevesen tudják azonban, hogy nem a hozzájárulás az egyetlen jogalap, amire hivatkozással direkt marketing üzenet küldhető. Az Adatvédelmi Rendelet (47) előszava kimondja, hogy személyes adatok közvetlen üzletszerzési célú kezelése jogos érdeken alapulónak tekinthető.

Ha az adatkezelés jogalapjának a jogos érdeket tekintjük, akkor a GDPR csak az érme egyik oldala.  Az EU szándéka, hogy 2018. május 25. napjától a GDPR mellett az e-Privacy Rendelet alkalmazása is kötelező legyen, mely egyébként jelenleg még csak elfogadás alatt áll. Az e-Privacy Rendelet a személyes adatok közvetlen üzletszerzési célú kezelésével kapcsolatban tartalmaz részletes rendelkezéseket, melyeket együttesen kell értelmezni a GDPR szabályaival.

A direkt marketing célú adatkezelés jogalapjának elsődlegesen az e-Privacy Rendelet is a hozzájárulást tekinti, mellyel szemben a GDPR-ban foglalt elvárásokat támasztja, sőt konkrétan visszautal a GDPR-ra. Kimondja azonban, hogy amennyiben egy cég elektronikus levelezés céljából megszerzi ügyfeleitől elektronikus elérhetőségi adataikat egy termék vagy szolgáltatás értékesítése során, akkor felhasználhatja ezeket az adatokat saját hasonló termékeivel vagy szolgáltatásaival kapcsolatos közvetlen üzletszerzési célra. Ilyen esetben az ügyfelek számára egyértelműen és kifejezetten lehetőséget kell biztosítania arra, hogy az ilyen célú felhasználás ellen díjmentesen és egyszerűen kifogással élhessenek, azaz leiratkozhassanak (opt-out).

Tehát, ha értékesítünk terméket vagy szolgáltatást egy ügyfélnek, és ehhez kapcsolódóan megszerezzük az adatait, azt a saját hasonló termékeink, vagy szolgáltatásunk direkt marketing úton történő promótálására felhasználhatjuk jogszerűen, ha biztosítjuk a leiratkozás lehetőségét.

Fontos azonban a jogos érdek esetén is, hogy később a cégnek igazolni kell tudnia a korábbi értékesítést,és hogy azzal összefüggésben gyűjtötte be az érintett e-mail címét.

3. Most akkor hozzájárulás, vagy jogos érdek?

Azt gondolom, ha már a cég értékesít egy ügyfél részére valamilyen terméket, vagy szolgáltatást, mindenképp a jogos érdeket érdemes/ajánlott jogalapként használnia a direkt marketing célú üzenetküldésekhez. Miért is bajlódna még a hozzájárulás külön beszerzésével, amikor maga az értékesítés már jogalapot biztosít neki?

Lesznek olyan esetek is, amikor a cégeknek vegyesen vannak hozzájáruláson, és jogos érdeken alapuló adatkezelései is a hírlevelekhez,reklám üzenetekhez kapcsolódóan. Ilyen esetben különösen figyelmesen kell eljárni,hisz a jogalapokat külön-külön igazolni kell majd tudni.

4. Reklámtörvény és a direkt marketing

Érdekes adalék még a történetben, hogy az e-Privacy Rendelet fent írt opt-out, tehát leiratkozásra lehetőséget adó rendszerével szemben a magyar Reklámtörvény az opt-in rendszert követeli meg direkt marketing esetén, tehát csak előzetes hozzájárulás alapján engedélyezi akkor is, ha az e-mail címet a 3. pontban írtak szerint gyűjtötte be a cég. Ezt az ellenmondást fel fogja oldani az e-Privacy Rendelet elfogadása, hiszen az EU rendeleteivel ellentétes törvény nem lehet egyetlen tagállamban sem hatályban.

Bár az e-Privacy Rendelet jelenleg még csak elfogadás alatt áll, azt gondolom ez meg fog történni 2018. május 25. napjáig, és az egész EU-ban egységesen, együttesen kell majd a két Rendelet szabályait alkalmazni, a Reklámtörvény pedig módosításra fog kerülni.

5. Konklúzió

2018. május 25. napját követően az alábbi esetekben van lehetőség jogszerűen hírlevél, illetve direkt marketing üzeneteket küldeni:

  1. Korábban GDPR kompatibilisen gyűjtötték az e-mail címeket, a hozzájárulás megfelel a rendeletben foglaltaknak, és ezt igazolni is tudják.
  2. Az érintett részére korábban értékesítettek valamilyen terméket, vagy szolgáltatást, ezzel összefüggésben szerezték meg az e-mail címét. Ilyen esetben a korábban értékesítetthez hasonló terméket, szolgáltatást lehet reklámozni, de csak ha felajánlják a leiratkozás lehetőségét.
  3. Újból beszerzik az érintettek hozzájárulását az Adatvédelmi rendelet előírásai szerint.

Amennyiben a fenti lehetőségek közül egyik sem áll fenn, az e-mail címet törölni kell.

További blogposztjainkat az alábbi linken találja: